Výzkumníci našli mezeru v procesorech Intel, která útočníkovi umožňuje obejít přihlášení a umístit na notebooky zadní vrátka, což umožňuje protivníkům vzdálený přístup k notebookům. Výzkumníci z F-Secure, kteří jako první identifikovali strategii útoku, tvrdí, že mezeru lze využít za méně než jednu minutu.
Tato technika vyžaduje, aby útočníci měli fyzický přístup k počítačům, a také předpokládá, že cíl nenakonfiguroval svůj systém k ochraně účtu Intel Management Engine BIOS Extension (MEBx) na počítačích, které podporují technologii Intel Active Management Technology (AMT).
AMT je funkce vzdálené údržby společnosti Intel používaná u procesorů Intel vPro a Xeon. MEBx je rozšíření systému BIOS používané k ruční konfiguraci služby AMT. Při správné konfiguraci je MEBx chráněn heslem.
Výzkumníci z F-Secure, kteří svůj výzkum nastínili v pátečním blogovém příspěvku, uvedli, že uživatelé obvykle nemění heslo MEBx z výchozího hesla „admin“.
„Problém umožňuje místnímu vetřelci proniknout do zadních vrátek téměř jakéhokoli podnikového notebooku během několika sekund, i když jsou nastaveny heslo BIOS, TPM Pin, Bitlocker a přihlašovací údaje,“ napsal F-Secure.
Útok začíná restartováním cílového notebooku do spouštěcí nabídky počítače. Typicky by protivník nebyl schopen obejít heslo BIOSu a zastavit útok v jeho stopách, uvedli výzkumníci.
„V tomto případě však má útočník řešení: AMT. Výběrem rozšíření Intel's Management Engine BIOS Extension (MEBx) se mohou přihlásit pomocí výchozího hesla „admin“, protože toto heslo pravděpodobně uživatel nezměnil. Změnou výchozího hesla, povolením vzdáleného přístupu a nastavením uživatelského přihlášení AMT na „Žádné“ počítačový zločinec účinně kompromitoval počítač,“ napsal F-Secure.
To útočníkovi umožňuje později nakonfigurovat cílový notebook pro vzdálený přístup. Jediné upozornění, aby útočník mohl přistupovat k notebooku na dálku, musí být schopen „vložit se do stejného segmentu sítě s obětí,“ uvádí výzkum. "Povolení bezdrátového přístupu vyžaduje několik kroků navíc," řekli.
Výzkumníci uznávají, že fyzická blízkost požadovaná při útoku omezuje jeho potenciální hrozbu. Výzkumník F-Secure Harry Sintonen však uvedl, že existují scénáře, kdy kombinace sociálního inženýrství v kombinaci s krátkým časem potřebným k provedení hacku může zanechat některé zranitelné.
„V podstatě jeden útočník odvede pozornost značky, zatímco druhý nakrátko získá přístup ke svému notebooku. Útok nevyžaduje mnoho času – dokončení celé operace může trvat méně než minutu,“ řekl Sintonen.
Intel reagoval na výzkum společnosti F-Secure a veřejně uvedl, že si nemůže pomoci, pokud „někteří výrobci systémů nenakonfigurovali své systémy tak, aby chránily rozšíření Intel Management Engine BIOS Extension (MEBx).
Justin Jett, ředitel auditu a dodržování předpisů ve společnosti Plixer, která se zabývá analýzou síťového provozu, uvedl, že útoky využívající tuto metodu by mohly být účinné.
„Problém se zabezpečením Intel AMT je velmi dobře proveditelný. Nečestní zaměstnanci, kteří mají přístup k mnoha počítačům v korporaci a sdílejí stejný síťový prostor jako jejich kolegové, by mohli využít této zranitelnosti,“ řekl Jett.
Řekl, že mezeru lze uzavřít aktualizací firmwaru systému BIOS, aby se zabránilo obcházení normálních protokolů systému BIOS. „Hlavním cílem organizací by mezitím mělo být aktualizovat systémy tak, aby nepoužívaly výchozí heslo, a kontrolovat data analýzy síťového provozu pro připojení přes porty Intel AMT.“
Společnost F-Secure doporučuje dodržovat doporučené postupy společnosti Intel pro funkci AMT (PDF) nebo ji úplně deaktivovat.
Obavy ohledně Intel Management Engine trvají již léta. V květnu společnost Intel opravila kritickou zranitelnost, která se datuje před devíti lety ve společnosti Active Management Technology, která je založena na Intel ME. Tato chyba zabezpečení by mohla umožnit útočníkovi získat vzdálený přístup ke službám AMT, jako je klávesnice, video a myš (KVM), přesměrování IDE, sériové připojení přes LAN a nastavení a úpravy systému BIOS.
V listopadu společnost Intel vydala záplaty, které mají chránit miliony počítačů a serverů před zranitelnostmi nalezenými v jejím Management Engine, které by mohly umožnit místním útočníkům zvýšit oprávnění, spouštět libovolný kód, shazovat systémy a odposlouchávat komunikaci. V srpnu společnost Positive Technologies zveřejnila zprávu o tom, jak americká vláda může deaktivovat ME a veřejnost ne.
Podezření se datuje od roku 2012 ohledně implementace AMT společností Intel a někteří ji označují jako „ve výchozím nastavení povolena zadní vrátka“. Hlášená chyba identifikovaná v červnu 2016 výzkumníkem Damienem Zammitem tvrdila, že v Intel Management Engine byla vzdáleně zneužitelná bezpečnostní díra, která vytvořila tajná zadní vrátka umožňující třetí straně používat nezjistitelné rootkity proti počítačům Intel. Intel taková tvrzení popřel.
Sdílejte tento článek:
